Light Commands: Gli hacker possono violare Alexa , Siri e Google Assistant

Light Commands, un nuovo attacco che consente a un utente malintenzionato di inserire segnali audio arbitrari negli assistenti vocali utilizzando la luce da una lunga distanza.

Ricercatori di sicurezza dell’Università di Electro-Communications e Michigan hanno scoperto che la nuova classe dell’attacco di iniezione soprannominata “Light Commands” è una vulnerabilità nei microfoni MEMS che consente agli aggressori di iniettare comandi impercettibili e invisibili negli assistenti vocali.

I ricercatori hanno identificato una vulnerabilità nel microfono MEMS (sistemi microelettromeccanici), che risponde alla luce se ha un suono, sfruttando quest’ultimo può essere iniettato nei microfoni modulando l’ampiezza della luce laser.

Gli aggressori possono inviare da remoto segnali invisibili e impercettibili a dispositivi domestici intelligenti come Alexa, Portal, Google Assistant o Siri. I sistemi Voice Controller non dispongono di meccanismi di autenticazione, che consentono a un utente malintenzionato di dirottare i dispositivi e possono svolgere le seguenti funzioni.

• Controllo degli interruttori domestici intelligenti
• Aprire le porte del garage.
• Fare acquisti online
• Sbloccare e avviare in remoto determinati veicoli
• Forzare il PIN dell’utente

Per sfruttare l’attacco non è richiesto alcun accesso fisico o interazione dell’utente, tutto ciò che l’attaccante deve avere è l’accesso alla linea di vista al dispositivo bersaglio e alle sue porte del microfono. I ricercatori confermano che l’attacco funziona con 110 metri di lunghezza e hanno pubblicato un documento PDF con i dettagli.